ISO/IEC 15408 предназначен для использования в качестве основы для оценки свойств безопасности ИТ-продуктов и систем. Благодаря созданию такой общей базы критериев результаты оценки ИТ-безопасности будут иметь значение для более широкой аудитории. Определенные темы, поскольку они включают в себя специализированные методы или в некоторой степени второстепенные по отношению к ИТ-безопасности, считаются выходящими за рамки ISO/IEC 15408. Некоторые из них указаны ниже: a) ISO/IEC 15408 не содержит критериев оценки безопасности. относящиеся к мерам административной безопасности, не связанным непосредственно с мерами ИТ-безопасности. Однако общепризнано, что значительная часть безопасности ОО часто может быть достигнута посредством административных мер, таких как организационный, кадровый, физический и процедурный контроль. Административные меры безопасности в операционной среде ОО рассматриваются как предположения о безопасном использовании, если они влияют на способность мер безопасности ИТ противостоять выявленным угрозам. б) Оценка технических физических аспектов безопасности ИТ, таких как контроль электромагнитного излучения, конкретно не рассматривается, хотя многие из рассматриваемых концепций применимы и к этой области. В частности, ИСО/МЭК 15408 рассматривает некоторые аспекты физической защиты ОО. в) ISO/IEC 15408 не рассматривает ни методологию оценки, ни административную и правовую структуру, в соответствии с которой критерии могут применяться органами оценки. Однако ожидается, что ISO/IEC 15408 будет использоваться для целей оценки в контексте такой структуры и такой методологии. d) Процедуры использования результатов оценки при аккредитации продукта или системы выходят за рамки ISO/IEC 15408. Аккредитация продукта или системы — это административный процесс, посредством которого предоставляются полномочия на эксплуатацию ИТ-продукта или системы в полной рабочей среде. . Оценка фокусируется на частях ИТ-безопасности продукта или системы и тех частях операционной среды, которые могут напрямую влиять на безопасное использование элементов ИТ. Таким образом, результаты процесса оценки являются ценным вкладом в процесс аккредитации. Однако, поскольку другие методы более подходят для оценки свойств безопасности продукта или системы, не связанных с ИТ, и их взаимосвязи с частями безопасности ИТ, аккредитаторам следует предусмотреть отдельные положения для этих аспектов. д) Критерии оценки свойств криптографических алгоритмов не рассматриваются в ИСО/МЭК 15408. Если требуется независимая оценка математических свойств криптографии, встроенной в ОО, схема оценки, согласно которой ИСО/МЭК 15408 применяемые меры должны предусматривать проведение таких оценок. Информационные технологии. Методы обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 1. Введение и общая модель. Эта часть ISO/IEC 15408 определяет две формы выражения функциональных требований и требований доверия к безопасности ИТ. Конструкция профиля защиты (PP) позволяет создавать обобщенные многократно используемые наборы этих требований безопасности. ПП может использоваться потенциальными потребителями для спецификации и идентификации продуктов с функциями ИТ-безопасности, которые будут отвечать их потребностям. Цель безопасности (ST) выражает требования безопасности и определяет функции безопасности для конкретного продукта или системы, подлежащей оценке, называемой целью оценки (TOE). ЗБ используется оценщиками в качестве основы для оценок, проводимых в соответствии с ISO/IEC 15408.
ISO/IEC 15408-1:2005 История
2022ISO/IEC 15408-1:2022 Информационная безопасность, кибербезопасность и защита конфиденциальности. Критерии оценки ИТ-безопасности. Часть 1. Введение и общая модель.
2009ISO/IEC 15408-1:2009 Информационные технологии. Методы обеспечения безопасности. Критерии оценки ИТ-безопасности. Часть 1. Введение и общая модель.
2005ISO/IEC 15408-1:2005 Информационные технологии. Методы обеспечения безопасности. Критерии оценки ИТ-безопасности. Часть 1. Введение и общая модель.
1999ISO/IEC 15408-1:1999 Информационные технологии. Методы обеспечения безопасности. Критерии оценки ИТ-безопасности. Часть 1. Введение и общая модель.